настройка openldap

Модератор: Skull

ska
Сообщения: 202
ОС: ALTLinux School Master

настройка openldap

Сообщение ska » 03.02.2011 08:06

Пытаюсь безуспешно настроить ldap сервер на локальном компе. При попытке подключиться клиентом для изменения базы получаю такое

Код: Выделить всё

[root@linux ~]# ldapmodify
SASL/SRP authentication started
Please enter your password:
ldap_sasl_interactive_bind_s: Invalid credentials (49)

Может это какая-то специфика альта? Помогите, очень нужна централизованная авторизация в школе.
Откуда берется сасл авторизация, если в конфигах про это ничего нет, а все, что касается ключей и сертификатов закоментировано.
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 03.02.2011 08:33

Извиняюсь, поспешил. Правильно ли я понимаю, что тут явно надо указывать привязку, типа

Код: Выделить всё

[root@linux ~]# ldapmodify -D "cn=admin,dc=test,dc=org" -W

Иначе по умалчанию будет использована сасл? Но тогда почему сасл авторизация не проходит?
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 03.02.2011 11:49

Посмотрите скрипты-обёртки изменения данных в LDAP:

Код: Выделить всё

[root@ham1 ~]# ls -1 /usr/sbin/ldap-*
/usr/sbin/ldap-dn
/usr/sbin/ldap-getent
/usr/sbin/ldap-groupadd
/usr/sbin/ldap-groupdel
/usr/sbin/ldap-groupmod
/usr/sbin/ldap-init
/usr/sbin/ldap-passwd
/usr/sbin/ldap-useradd
/usr/sbin/ldap-userdel
/usr/sbin/ldap-usermod

Проще работать через них. Но они также и требуют настроенного Kerberos (например, при заведении пользователя).

Команда изменения (как вы верно заметили)

Код: Выделить всё

ldapmodify -D "$rootdn" $rootpw -x -H "ldap://${host:-127.0.0.1}" > /dev/null
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 05.02.2011 12:24

Скажите, какие файлы конфигурации нужно править, чтобы настроить клиентский комп (alt linux school light)? Аутентификация будет с помощью pam модуля. Не вижу например, файл ldap.conf
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 05.02.2011 18:59

ska писал(а):
05.02.2011 12:24
Скажите, какие файлы конфигурации нужно править, чтобы настроить клиентский комп (alt linux school light)? Аутентификация будет с помощью pam модуля. Не вижу например, файл ldap.conf
Что мешает настроить в модуле alterator-auth («Аутентификация»)? Там, если не ошибаюсь, четыре файла правятся.
Хотите приключений?
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 06.02.2011 04:39

Skull писал(а):
05.02.2011 18:59
Что мешает настроить в модуле alterator-auth («Аутентификация»)? Там, если не ошибаюсь, четыре файла правятся.

Если вы имеете ввиду Настройка-Центр управления системой-Аутентификация, то я с этого и начинал. Сейчас там у меня используется домен linux.org (т.е. на нем запущен лдап и он нормально пингуется клиентом), но авторизации через него нету.

Если в консоли на клиенте сделать так
su user (это логин пользователя в базе лдап)
то получается это
su: User not known to underlying authentication module.

И когда приходится вводить какие-нибудь логины и пароли, например, в окне входа в систему, система по долгу висит, прежде чем что-то ответить.
И еще в логах клиента /var/log/daemons/errors такое
named: nss_ldap: could not search ldap server - server is anavailable
avahi-daemon: nss_ldap: could not search ldap server - server is anavailable
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 06.02.2011 11:25

У вас должна быть правильно настроена системная аутентификация:

Код: Выделить всё

system-auth status

Должен показываться krb5 в начале вывода. Для этого /etc/pam.d/system-auth должен быть симлинком на system-auth-krb5 и правильно настроен control system-auth.
Механизмы работы смотрите в /usr/sbin/system-auth
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 09.02.2011 13:07

Сейчас у меня нет пока доступа к компьютеру с лекгим линуксом, поэтому то же самое проделываю локально на альт мастере, т.е. хочу авторизоваться в системе не через файлы типа /etc/passwd а через базу лдап. В Авторизации в качестве домена выбран mydomain.com
еще я изменил привязку сервера лдап с 127.0.0.1 (по умолчанию) на 192.168.0.1 Т.е. он у меня работает на сетевом интерфейсе с этим адресом
У меня вроде все так, как вы говорите

Код: Выделить всё

[root@asus ~]# system-auth status
krb5 dc=mydomain,dc=com ldap://mydomain.com]

но логин и и пароль пользователя который в базе лдап система (окно при входе в систему) по-прежнему не хочет принимать
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 10.02.2011 17:38

ska писал(а):
09.02.2011 13:07
но логин и и пароль пользователя который в базе лдап система (окно при входе в систему) по-прежнему не хочет принимать
Смотрите 12-ую консоль на предмет ошибок. Скорее всего, DNS не отдал IP для mydomain.com. Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 15.02.2011 02:27

Есть вопрос по поводу пользовательских атрибутов...
Т.е. мне, к примеру, надо создать атрибут хранящий целое число.

Делал в такой последовательности
вначале включил в конфиг такую схему

Код: Выделить всё

attributetype ( 1.3.6.1.4.1.32789.1.6 NAME 'traffic'
 DESC 'How much the user does have the internet traffic monthly'
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )


Далее пытаюсь добавить свой пользовательский атрибут traffic (который прописан в схеме) к одной из пользовательских записей через лдиф файл, но получаю такое.

Код: Выделить всё

[root@asus ~]# ldapmodify -D "cn=admin,dc=mydomain,dc=com" -w secret -x -v -f /home/linux/update.ldif
ldap_initialize( <DEFAULT> )
add traffic:
        10
modifying entry "uid=test,ou=People,dc=mydomain,dc=com"
ldap_modify: Object class violation (65)
        additional info: attribute 'traffic' not allowed
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 15.02.2011 13:00

А в класс объекта кто будет добавлять?
Например, в person или вооще создать новый.

Код: Выделить всё

objectclass ( 2.5.6.6 NAME 'person'
        DESC 'RFC2256: a person'
        SUP top STRUCTURAL
        MUST ( sn $ cn )
        MAY ( userPassword $ telephoneNumber $ seeAlso $ description $ traffic ) )
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 16.02.2011 08:03

Все так. Спасибо. Работает.
Удалось сделать авторизацию в сквиде через лдап базу а вот с системной авторизацией пока не получается.
Смотрите 12-ую консоль на предмет ошибок. Скорее всего, DNS не отдал IP для mydomain.com. Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.

Как посмотреть 12 консоль на ошибки?)
Правильно ли понимаю, что чтобы запустить системную лдап авторизацию мне нужен работающий днс сервер?
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 17.02.2011 13:53

ska писал(а):
16.02.2011 08:03
Как посмотреть 12 консоль на ошибки?)
Alt+F12 из обычной, Ctrl+Alt+F12 из X.org
Правильно ли понимаю, что чтобы запустить системную лдап авторизацию мне нужен работающий днс сервер?
Достаточно резолвинга хостов. Лучше установите в модуле Alterator (Центр управления системой) «Аутентификация».
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 19.02.2011 10:22

Посмотрел в консоли на ошибки. Они такие.
На серверном компе
nss_ldap: failed to bind to LDAP server ldap://127.0.0.1/: Cant contact LDAP server

Это мне непонятно, потому что мне казалось, что я привязал сервер лдап к сетевой плате с номером 192.168.0.1

Код: Выделить всё

[root@mydomain ~]# cat /etc/openldap/ldap.conf#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

#TLS_REQCERT never
base dc=mydomain,dc=org
uri ldap://192.168.0.1

Код: Выделить всё

[root@mydomain ~]# cat /etc/sysconfig/ldap
########################################
# SLAPD Proccess options
########################################
# SLAPD URL list
SLAPDURLLIST="ldap://ldap.mydomain.org/"
#SLAPDURLLIST="'ldap://localhost/ ldaps:///'"
#SLAPDURLLIST="'ldap:/// ldaps:///'"

SLAPD_OPTIONS="-l DAEMON -s 6"

########################################
# SLURPD Proccess options
########################################
SLURPD_OPTIONS='-t /'

Код: Выделить всё

[root@mydomain ~]# cat /etc/sysconfig/network
# When set to no, this may cause most daemons' initscripts skip starting.
NETWORKING=yes

# Used by hotplug/pcmcia/ifplugd scripts to detect current network config
# subsystem.
CONFMETHOD=etcnet

# Used by rc.sysinit to setup system hostname at boot.
HOSTNAME=mydomain.org

# This is used by ALTLinux ppp-common to decide if we want to install
# nameserver lines into /etc/resolv.conf or not.
RESOLV_MODS=yes
HTTP_PROXY=
HTTPS_PROXY=
FTP_PROXY=

Код: Выделить всё

[root@mydomain ~]# cat /etc/hosts
127.0.0.1       localhost.localdomain localhost
192.168.0.1 ldap.mydomain.org mydomain.org mydomain


На клиентском компе такая ситуация:
в окне Авторизация указал "mydomain.org" после этого перезагрузил и в консоли такая ошибка
nss_ldap: failed to bind to LDAP server ldap://ldap.mydomain.org: Cant contact LDAP server
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 19.02.2011 10:39

После того как изменил на серверном компе строчку в /etc/nss_ldap.conf таким образом
uri ldap://192.168.0.1/
ошибка в консоли стала такой
nss_ldap: failed to bind to LDAP server ldap://192.168.0.1/: Invaled credentials

На клиентском компе
в окне настройки сетевых интерфейсов прописал в доменах поиска две строчки типа ldap.mydomain.org mydomain.org
затем в /etc/hosts прописал соответствие айпи сервера и его доменного имени типа
192.168.0.1 ldap.mydomain.org mydomain.org
После этого ошибка в консоли на клиентском компе приняла вид (имеется ввиду момент когда я ввожу логин и пароль)
:pam_tcb(xdm:auth):Authentication failed for UKNOWN USER from (uid=0)
:pam_succed_if(xdm:auth):error retrieving information about user myusername
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 02.03.2011 12:33

Skull писал(а):
10.02.2011 17:38
Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.

Т.е. без kerberos ldap авторизация в альте пятой версии невозможна?
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 02.03.2011 16:05

ska писал(а):
02.03.2011 12:33
Skull писал(а):
10.02.2011 17:38
Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.

Т.е. без kerberos ldap авторизация в альте пятой версии невозможна?
Только для входа — вполне возможна. Но теряются вкусные плюшки Single Sign-on (подключение сетевых дисков, беспарольный прокси-сервер).
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 03.03.2011 01:47

Skull писал(а):
02.03.2011 16:05
ska писал(а):
02.03.2011 12:33
Skull писал(а):
10.02.2011 17:38
Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.

Т.е. без kerberos ldap авторизация в альте пятой версии невозможна?
Только для входа — вполне возможна. Но теряются вкусные плюшки Single Sign-on (подключение сетевых дисков, беспарольный прокси-сервер).

ок. убедили) буду дальше пробовать с kerberos. Просто я решил начать с чего попроще, а со временем можно было бы и сертификаты замутить).
P.S. I'll be back
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 03.03.2011 12:23

ska писал(а):
03.03.2011 01:47
а со временем можно было бы и сертификаты замутить).
Просто сервер уже преднастроен на всю связку. Если хотите разобраться, лучше отрубать работающее, чем повторять From Scratch :)

P.S. Kerberos оперирует тикетами, а не сертификатами. Сертификаты уже в УЦ и OpenVPN используются. :)
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 04.03.2011 11:52

Да, про тикеты и сертификаты мне еще читать и читать... Я бы с удовольствием воспользовался готовым альтовским сервером. Одна проблема - авторизация через него не идет.
Я создал пользователя на сервере (альт сервер), запустил службу dhcp. Клиенту в аутентификации прописал соответствующий домен и поставил галку получайть ай пи через dhcp. Но все это у меня не работает. Одни и те же сообщения в консоли клиента.
cannot bind to ldap server
или
Invalid credentials
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 04.03.2011 12:08

Skull писал(а):
03.03.2011 12:23
P.S. Kerberos оперирует тикетами, а не сертификатами. Сертификаты уже в УЦ и OpenVPN используются. :)

Что то я запутался. Если на легком альте авторизация идет по умолчниню через керберос, мне нужна на сервере тоже аналогичная служба а не сертификаты? Что делать чтобы авторизоваться? :crazy:
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 04.03.2011 12:24

Skull писал(а):
02.03.2011 16:05
ska писал(а):
02.03.2011 12:33
Skull писал(а):
10.02.2011 17:38
Инфраструктура Пятой платформы тесно увязана с DNS/LDAP/Kerberos.

Т.е. без kerberos ldap авторизация в альте пятой версии невозможна?
Только для входа — вполне возможна. Но теряются вкусные плюшки Single Sign-on (подключение сетевых дисков, беспарольный прокси-сервер).

Как зайти на сервер без плюшек?
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 05.03.2011 11:22

Случилось чудооо! Я только что авторизовался через лдап.)))
Я переустановил клиента при работающем сервере и зашел.
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 06.03.2011 08:36

Как включить плюшку Беспарольный прокси сервер?
В строке Выберите способ аутентификации (в настройка сервера через веб панель) выбираю керберос или керберос+пам, но на клиенте нет интернета.
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 09.03.2011 05:33

ska писал(а):
06.03.2011 08:36
Как включить плюшку Беспарольный прокси сервер?
В строке Выберите способ аутентификации (в настройка сервера через веб панель) выбираю керберос или керберос+пам, но на клиенте нет интернета.
Режим: Прозрачный
Правда, и аутентификации по пользователям не будет.
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 09.03.2011 10:22

Skull писал(а):
09.03.2011 05:33
ska писал(а):
06.03.2011 08:36
Как включить плюшку Беспарольный прокси сервер?
В строке Выберите способ аутентификации (в настройка сервера через веб панель) выбираю керберос или керберос+пам, но на клиенте нет интернета.
Режим: Прозрачный
Правда, и аутентификации по пользователям не будет.

Нее, такой плюшки мне не надо. Дело в том что к сквиду будет прикручиваться лайтсквид и юзерблокер для подсчета и блокирования трафика. Значит в моем варианте аутентификация только через керберос+лдап? (инет кстати появился при таком способе)
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 09.03.2011 12:39

Учитывая что юзерблокер берет инфо из лдап базы, (а через веб панель сервера таких строк которые ему нужны не добавишь), а также мне бы очень не хотелось создавать 100 пользователей через веб панель. В общем я могу внести пользователей с нужными мне атрибутами в базу с помощью лдиф файла. Проблема только, что мне нужен шаблон дефолтной учетной записи лдап. Т.е. когда пользователь создается через веб панель сервера, что за атрибуты и классы ему приписываются? ldapsearch такого почему-то не показывает

Код: Выделить всё

[root@altserver ~]# ldapsearch -x -b "cn=ldaproot,dc=test,dc=ru" "(uid=*)"# extended LDIF
#
# LDAPv3
# base <cn=ldaproot,dc=test,dc=ru> with scope subtree
# filter: (uid=*)
# requesting: ALL
#

# search result
search: 2
result: 0 Success
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 12.03.2011 07:45

См. /usr/sbin/ldap-*
У меня всё показывается, так я и экспериментов не ставил.
Skull
Спасибо сказали:

ska
Сообщения: 202
ОС: ALTLinux School Master

Re: настройка openldap

Сообщение ska » 12.03.2011 11:40

У меня тоже все показывается - это я поспешил насчет ldapsearch... Я уже даже добавлял пользователя с помощью лдиф, но вот зайти с ним на сервер так и не получилось.
Скрипты я смотрел, в частности ldap-useradd запустил, а оно сказало что dn_conf not set
Я так и не понял что это такое).

В результате юзеров я создавал кликая мышкой в веб панели, :ph34r: и уже потом добавлял своим скриптом дополнительный объект и атрибуты юзерблокера.

P.S. тем не менее по-прежнему любопытно знать как же работают таинственные скрипты в /usr/sbin а также хотелось бы видеть пример лдиф файла для создания пользователя,
Спасибо сказали:

Аватара пользователя
Skull
Модератор
Сообщения: 2089
ОС: ALT Linux

Re: настройка openldap

Сообщение Skull » 23.03.2011 14:05

ska писал(а):
12.03.2011 11:40
P.S. тем не менее по-прежнему любопытно знать как же работают таинственные скрипты в /usr/sbin а также хотелось бы видеть пример лдиф файла для создания пользователя,
Почитайте про написание скриптов в Bash. Там всё тривиально. Непонятно, зачем вы взялись за эту задачу, не имея базовых знаний?
Skull
Спасибо сказали: